PureBoard

Hi Leutz,

ich hab vor kurzem ein kleines Tool gebaut, dass es Reversern und Malware-Analysten vereinfacht, verschlüsselte/gepackte Daten zu identifizieren. Ein spezieller Fokus liegt dabei auf PE-Dateien, die sektions-weise visualisiert werden. Für die Visualisierung selbst habe ich Histogramme verwendet. Das Tool und eine detaillierte Beschreibung (in Englisch) dessen ist unter http://cert.at/downloads/software/bytehist_en.html verfügbar.
Kommentare oder Anmerkungen sind gern gesehen.

LG,
Didelphodon.

Hi Didel,

Ich hab's mal angetestet, aber so richtig will sich mir der Nutzen nicht erschliessen. Wenn ich die Ausgabe von 'lesbaren' Daten und 'verschlüsselten' Daten vergleiche, sehe ich natürlich den Unterschied. Aber wenn ich die selben Files im HEX Editor öffne, dann sehe ich das auch auf den ersten Blick. Ich gehe mal davon aus, dass "Reverser und Malware-Analysten" sich soweit auskennen um das im HEX-Editor (den sie ja sowieso öffnen) schnell zu identifizieren. Was für einen genauen Anwendungsfall kann man damit denn lösen oder vereinfachen?

Ansonsten aber gut gemacht. Einfach und Effektiv.

Volker

Hi Volker,

ich bin auch hauptberuflich Reverser und Malware-Analyst und ich hab das Tool in initialer Absprache mit ein paar internationalen Größen in dieser Materie gemacht. Gerade bei Malware gibt es immer wieder sehr gefinkelte Packer/Crypter, die eingesetzt werden. Das Tool hilft einfach die Position der *interessanten* Daten zu identifizieren, sodass man schnell seine Aufmerksamkeit (z.B. Breakpoints, etc.) auf die betroffenen Stellen richten kann. Für Massenanalyse - da reden wir von Hunderttausenden Malware-Samples - ist es natürlich auch interessant, insbesondere, da in einer der nächsten Versionen auch maschinell lesbare Statistiken entstehen werden, aber auch der bloße Blick auf kleine Thumbs in einem Verzeichnis sollte zur Identifizierung schon ausreichen.
Einfach nur in einen Hex-Editor zu schauen reicht üblicherweise nicht, um eine sofortige Entscheidung treffen zu können, denn es gibt auch Malware, die Code und Daten recht gut "durchmischt". Ein Blick aus der "Vogelperspektive" ist da äußerst hilfreich.

EDIT: Der Hauptnutzen - das ist vielleicht nicht ganz rausgekommen - liegt für Reverser im sektionsweisen Graphing von PE-Dateien.

LG Didel.